Héberger ses listes de contacts sur une plateforme emailing, c’est confier des données personnelles à un tiers. On le sait, et c’est une responsabilité que nous portons depuis 2002. Serveurs dédiés en France, chiffrement de bout en bout, pentests tous les trimestres, DPO externe certifié, label Alliance Digitale. La sécurité chez Ediware n’est pas un argument commercial qu’on affiche sur une page et qu’on oublie ensuite. C’est une infrastructure, des procédures documentées et une équipe qui les applique au quotidien.
La question revient systématiquement en phase de qualification : « Où sont stockées mes données ? » Réponse courte : en France, sur des serveurs physiques qui nous sont exclusivement réservés, dans un datacenter certifié ISO 27001.
Notre infrastructure de production est hébergée chez Celeste, dans le datacenter Equinix de Saint-Denis. Celeste est certifié ISO 27001. Contrôle d’accès biométrique, surveillance 24h/24, redondance électrique et climatique. Nous n’utilisons que des serveurs dédiés. Concrètement, vos données ne se retrouvent pas sur les mêmes machines que celles d’autres entreprises. C’est un point que beaucoup de clients en B-to-B vérifient en premier, et c’est normal.
Les données de contacts hébergées sur la plateforme restent en France. Production, sauvegardes, archivage longue durée : tout est localisé sur le territoire national. Pas de transfert vers des pays tiers. En pratique, ça simplifie aussi vos obligations en tant que responsable de traitement vis-à-vis du RGPD.
Un mot de passe et un certificat SSL, ça ne suffit pas à sécuriser une plateforme qui traite des bases de contacts. L’architecture d’Ediware repose sur le principe de défense en profondeur. Chaque couche protège la suivante, et il faut en franchir plusieurs pour atteindre les bases de données.
Les serveurs de bases de données ne sont pas exposés directement sur Internet. Ils sont isolés dans un réseau privé, un VLAN, accessible uniquement via un VPN chiffré. Entre Internet et vos données, il y a un firewall, un WAF, un reverse proxy NGINX, puis les serveurs applicatifs. Un attaquant qui parviendrait à franchir une couche se retrouverait face à la suivante. C’est le principe même de la défense en profondeur.
Au repos, les données sont chiffrées sur les disques en AES-256. En transit, les communications passent en TLS 1.3. Les sauvegardes externalisées sont elles aussi chiffrées. Pour les échanges de fichiers contenant des données personnelles, seuls les protocoles FTPS et SFTP sont autorisés. Entre votre navigateur et la plateforme, tout est chiffré de bout en bout.
On peut affirmer que sa plateforme est sécurisée. Encore faut-il le vérifier régulièrement. Des pentests automatisés sont réalisés tous les trois mois, en boîte blanche et en boîte grise authentifiée. Un test d’intrusion manuel est conduit chaque année par un prestataire certifié PASSI. Les vulnérabilités critiques sont corrigées sous 48 heures, les hautes sous 7 jours. Et les résultats passent en comité de sécurité trimestriel pour ajuster ce qui doit l’être.
Le risque ne vient pas toujours de l’extérieur. Le contrôle des accès internes est tout aussi déterminant que la protection contre les attaques. Ediware applique le principe du moindre privilège à tous les niveaux de l’organisation.
Nos développeurs travaillent sur des jeux de données fictifs. Aucun accès aux données de production. Le support technique n’accède qu’à des données pseudonymisées. Les gestionnaires de campagnes ne voient que les informations strictement nécessaires à la réalisation de leur prestation. Quant aux accès administrateur, ils sont limités à quatre collaborateurs identifiés, avec authentification à deux facteurs obligatoire.
L’accès au système d’information passe par un VPN chiffré. Les serveurs ne sont accessibles que par clé SSH privée via un bastion. Identifiant unique pour chaque collaborateur. Mots de passe de 12 caractères minimum, stockés dans un gestionnaire dédié, rotation tous les 90 jours pour les comptes privilégiés. Une revue annuelle des droits couvre l’ensemble du périmètre.
D’ailleurs, côté client aussi l’accès est sécurisé. SSL obligatoire, authentification à deux facteurs disponible, et toutes les actions sont historisées dans les logs. Vous pouvez vérifier qui a fait quoi et quand sur votre compte.
Un serveur qui lâche, un datacenter qui subit un sinistre. Ce sont des scénarios qu’on a anticipés, pas des hypothèses théoriques. Notre stratégie de sauvegarde va au-delà de la règle classique du 3-2-1.
Les bases de données sont répliquées en temps réel sur des serveurs secondaires. Si le serveur principal tombe, la bascule est immédiate. En parallèle, des sauvegardes quotidiennes sont réalisées par l’hébergeur et externalisées, chiffrées, vers deux sites distants en France. Un archivage longue durée complète le dispositif.
Le PCA et le PRA sont testés chaque année. Pas uniquement rédigés, testés. En cas de panne serveur, le service reprend en moins d’une heure grâce à la réplication. En cas de perte complète du datacenter principal, l’infrastructure de secours est activable en moins de 12 heures. Ces délais sont mesurés lors des exercices annuels, pas estimés sur le papier.
Le taux de disponibilité de la plateforme emailing est suivi mensuellement. L’objectif : rester au-dessus de 99,9 %, ce qui représente moins de 8 heures 48 minutes d’indisponibilité par an. L’infrastructure chez Celeste bénéficie d’un monitoring permanent par leur équipe d’infogérance.
Beaucoup d’éditeurs affichent « conforme RGPD » sur leur site sans rien derrière. Chez Ediware, la conformité repose sur une documentation complète, un DPO externe certifié et un label professionnel délivré par l’Alliance Digitale. Des éléments vérifiables, pas des déclarations.
Le poste de Délégué à la Protection des Données est confié à un cabinet externalisé spécialisé. La DPO est certifiée CIPM par l’IAPP, avec plus de dix ans d’expérience dans la protection des données personnelles. Elle intervient chaque trimestre pour former l’équipe Ediware sur un aspect spécifique du RGPD. La dernière session portait sur la charte informatique.
Une analyse d’impact, la fameuse PIA, a été réalisée par un cabinet spécialisé. Le registre des traitements est tenu à jour. Un DPA encadre la relation entre Ediware et chacun de ses clients. Durées de conservation, finalités de traitement, mesures de sécurité : tout est précisé dans des documents accessibles sur demande.
Ediware est labellisé Privacy Protection Pact par l’Alliance Digitale depuis 2019. Ce label vérifie la conformité effective des pratiques : politique de protection des données, droits des personnes, traçabilité du consentement, gestion des cookies, sécurité des systèmes d’information. Le renouvellement passe par une mise à jour des réponses et une vérification périodique.
Le risque zéro n’existe pas. Aucune plateforme ne peut prétendre le contraire. Ce qui compte, c’est la vitesse à laquelle on détecte un problème, la transparence avec les clients concernés et la capacité à contenir les dégâts rapidement.
Les incidents sont classés en quatre niveaux de criticité. Un incident critique, compromission serveur ou fuite de données, déclenche une réaction immédiate. Isolation du système, suspension des accès suspects, mobilisation du CTO, du DPO et de l’équipe d’infogérance. Les clients impactés sont informés sous une heure. Si la violation concerne des données personnelles, la notification CNIL est faite sous 72 heures.
L’équipe suit les bulletins de sécurité CERT-FR et ANSSI pour chaque composant de notre stack technique. Les patchs critiques sont appliqués sous 72 heures. En cas de vulnérabilité zero-day, une procédure d’urgence documentée permet d’évaluer l’exposition en deux heures et de mettre en place une mitigation en quatre heures. Mieux vaut avoir prévu la procédure avant que le problème ne survienne.
En France, dans un datacenter en France, sur des serveurs dédiés hébergés par Celeste, certifié ISO 27001. Les sauvegardes sont elles aussi localisées en France, sur des sites distincts. Aucune donnée n’est transférée hors de l’Union européenne.
Notre hébergeur Celeste est certifié ISO 27001. Ediware ne porte pas cette certification en propre, mais dispose d’une Politique de Sécurité des Systèmes d’Information et d’un Plan d’Assurance Sécurité documentés, avec des pentests trimestriels et un test d’intrusion annuel par un prestataire certifié PASSI.
L’accès est restreint selon le principe du moindre privilège. Quatre administrateurs identifiés ont un accès complet avec traçabilité exhaustive. Le support technique ne voit que des données pseudonymisées. Les développeurs n’ont aucun accès aux données de production, ils travaillent sur des jeux de données créés de toute pièce.
La procédure prévoit l’isolation immédiate du système compromis, la suspension des accès, la correction de la faille et la réinitialisation des mots de passe. Les clients sont prévenus sous une heure. Si des données personnelles sont concernées, la CNIL est notifiée sous 72 heures, conformément au RGPD.
Oui. Le poste est confié à un cabinet externalisé spécialisé, certifié CIPM par l’IAPP, avec plus de dix ans d’expérience. La DPO est rattachée à la direction générale et forme l’équipe chaque trimestre. Sa désignation est enregistrée auprès de la CNIL.
Réplication en temps réel des bases de données, sauvegardes quotidiennes externalisées vers deux sites distincts en France, chiffrées en AES-256. La restauration est testée mensuellement sur un environnement de pré-production. En cas de panne serveur, le service reprend en moins d’une heure.
Oui, Ediware est labellisé depuis 2019. Le label est délivré par l’Alliance Digitale et porte sur la protection des données, les droits des personnes, la traçabilité du consentement et la sécurité des systèmes. Son renouvellement implique une mise à jour des réponses et une vérification périodique par l’organisme.
Oui. Nos contrats prévoient la possibilité d’audits ou de contrôles. Les rapports de pentests récents sont disponibles sur demande sous accord de confidentialité. La PSSI, le DPA et le PAS sont accessibles aux clients et aux prospects qui souhaitent évaluer notre niveau de sécurité avant de s’engager.
Au repos sur les disques en AES-256, en transit entre votre navigateur et la plateforme en TLS 1.3, et dans les sauvegardes externalisées en AES-256. Les échanges de fichiers contenant des données personnelles passent exclusivement par FTPS ou SFTP.
Nos engagements
